- 1Kepserver EX6配置opc ua服务端 以及客户端_kepserverex6下载
- 2mysql5.7主从同步gtid_mysql 5.7 主从同步 gtid
- 3关于计算每天月累计的SQL语句的写法---开窗函数(窗口函数)的应用_sql求每日的月累计金额
- 4POROSVOC-PNC103波洛斯高性能32位音频处理器
- 5学习Rust的第16天:泛型类型
- 6Android start stop命令使用(十七)_android ctl.start
- 7Jupyter Notebook的详细安装教程_jupyter notebook安装教程
- 8Python爬虫框架有哪些?10个Python爬虫框架推荐
- 9年化26.4%,quantlab5.5发布——多任务机器学习组合优化,可视化策略生成向导(代码+数据)
- 10Fastjson反序列化漏洞自动化检测-安全优化
带你玩转M1卡_读取m!卡
赞
踩
本文参考来源
前言
M1卡全称为NXP Mifare1系列,常用的有S50及S70两种型号。
M1卡指标
- 分为16个扇区,每个扇区为4块,每块16个字节,以块为存取单位
- 每个扇区有独立的一组密码及访问控制。
- 具有防冲突机制,支持多卡操作(实际使用意义不大)
- 无电源,自带天线,内含加密控制逻辑和通讯逻辑电路。
- 数据保存期为10年,可改写10万次,读无限次。
- 工作频率:13.56MHZ
- 读写距离:10mm以内(与读写器有关)
工作原理
卡片的电气部分只由一个天线和ASIC(Application Specific Integrated Circuit)组成。
天线:卡片的天线是只有几组绕线的线圈,很适于封装到IS0卡片中。
ASIC:卡片的ASIC由一个高速(106KB波特率)的RF接口,一个控制单元和一个8K位EEPROM(Electrically Erasable Programmable Read-Only Memory,带电可擦可编程只读存储器)组成。
工作原理:读写器向M1卡发一组固定频率的电磁波,卡片内有一个LC串联谐振电路,其频率与讯写器发射的频率相同,在电磁波的激励下,LC谐振电路产生共振,从而使电容内有了电荷,在这个电容的另一端,接有一个单向导通的电子泵,将电容内的电荷送到另一个电容内储存,当所积累的电荷达到2V时,此电容可做为电源为其它电路提供工作电压,将卡内数据发射出去或接取读写器的数据。
复位应答(Answer to request)
M1射频卡的通讯协议和通讯波特率是定义好的,当有卡片进入读写器的操作范围时,读写器以特定的协议与它通讯,从而确定该卡是否为M1射频卡,即验证卡片的卡型。
防冲突机制 (Anticollision Loop)
当有多张卡进入读写器操作范围时,防冲突机制会从其中选择一张进行操作,未选中的则处于空闲模式等待下一次选卡,该过程会返回被选卡的序列号。
选择卡片(Select Tag)
选择被选中的卡的序列号,并同时返回卡的容量代码。
三次互相确认(3 Pass Authentication)
选定要处理的卡片之后,读写器就确定要访问的扇区号,并对该扇区密码进行密码校验,在三次相互认证之后就可以通过加密流进行通讯。(在选择另一扇区时,则必须进行另一扇区密码校验。)
存储结构
-
M1卡分为16个扇区,每个扇区4块(块0~3),共64块,按块号编址为0~63。第0扇区的块0(即绝对地址0块)用于存放厂商代码,已经固化,不可更改。其他各扇区的块0、块1、块2为数据块,用于存贮数据;块3为控制块,存放密码A、存取控制、密码B。每个扇区的密码和存取控制都是独立的,可以根据实际需要设定各自的密码及存取控制。存储结构如下表所示:
-
第0扇区的块0(即绝对地址0块),它用于存放厂商代码,已经固化,不可更改
-
每个扇区的块0、块1、块2为数据块,可用于存贮数据。
数据块有两种应用:
1、用作一般数据的保存,可以进行读、写操作。比如存储密码、客户的信息等东西。
2、用作数据值,可以进行初始化值、加值、减值、读值操作。比如当卡用作电子钱包使用、饭卡等。 -
每个扇区的块3为控制块,包括了密码A、存取控制、密码B。具体结构如下:(难点)
- 每个扇区的密码和存取控制都是独立的,可以根据实际需要设定各自的密码及存取控制。存取控制为4个字节,共32位,扇区中的每个块(包括数据块和控制块)的权限访问是由密码和存取控制共同决定的。扇区中的每个块都有相应的三个控制位。定义如下:
总结上图;
M1卡的结构,使得存取控制中每个块都有相应的三个控制位,定义表示如下:
| 块0 | C10 | C20 | C30 |
|---|---|---|---|
| 块1 | C11 | C21 | C31 |
| 块2 | C12 | C22 | C23 |
| 块3 | C13 | C23 | C33 |
三个控制位以正和反两种形式存在于存取控制字节中,决定了该块的访问权限。三个控制位在存取控制字节中的位置,如下图所示:(注:" _b" 表示取反) (字节9为备用字节)(下图存取控制的结构对于块0~块3 都是适用的)
以块0为例,对块0的控制:
注:按理来讲,控制位的取反表示对于我们进行控制权限的判断,没有什么实际意义。例如:我们想要知道块0 的存取权限,我们只需要知道C10 C20 C30的0 1 表示组合,然后去下边的表中去查询即可。控制位的取反表示也存在控制字节中,我自己判断有可能就是为了凑位数而采用的一种表示方式。
上述的三个控制位无非就是0、1的不同组合,从而代表了不同的访问权限。这些0、1的不同的组合代表的不同权限控制含义。这里要将块3和块0~块2分开进行说明,因为两者的存取控制有着不同的解释
块0~块2的存取控制表
一个扇区的三个数据块,我们可以利用密码机制对它们分别进行权限控制。数据块(块0、块1、块2)的存取控制如下:
块3的存取控制表
控制块(块3)的存取控制与数据块(块0、1、2)不同,它的存取控制如下:
存取控制判断举例
例1:块3的初始化值为:
KeyA=A0、A1、A2、A3、A4、A5
控制块=FF、07、80、69
KeyB=B0、B1、B2、B3、B4、B5
得出存取控制位如下:
然后根据块0~块3的存取控制表,查表得知各个块的存取权限。
M1卡常见问题及处理建议:
① 盲目操作:造成某些区块误操作被锁死不能再使用。应当仔细参考表3表5的控制权限后,予先得出操作后的结果是否适合使用要求,并且列出操作顺序表单再操作。最好授权程序员对块3的设置作专人操作。
② 丢失密码:再读写时造成密码认证出错而不能访问卡。特别要求在对MF卡进行块3编程操作时,必须及时记录相关卡号的控制值,KeyA,KeyB等,而且应当有专人管理密码档案。
③ 错误设置:对MF1卡的块3控制块了解不透彻,错误的理解造成设置造成错误的设置。依照表2可知,目前Mf1卡的控制块仅只有8种数据块访问控制权限和8种控制块设置权限,超出这16种权限的其他代码组合,将直接引起错误设置而使卡片报废!
④ 极端权限:当块3的存取控制位C13 C23 C33 = 110或者111时,称为极端权限。除特殊应用外一般不被使用!启用前认真权衡对密码读写,存取控制的锁死是否必要,否则,数据加密后即使有密码也无法读取被锁死的数据区块(看不见)!
⑤ 设备低劣:低劣的设备将直接影响卡的读写性能。对MF卡进行块3编程操作的设备,特别要求其性能必须十分可靠,运行十分稳定!建议选用由飞利浦公司原装读写模块构建的知名读写机具!
⑥ 编程干扰:在对块3进行编程操作时,不可以有任何的‘IO‘中断或打扰!包括同时运行两个以上程序干扰甚至PC机不良的开关电源纹波干扰等,否则,不成功的写操作将造成某个扇区被锁死的现象,致使该扇区再次访问时出错而报废。
⑦ 数据出错:在临界距离点上读卡和写卡造成的。通常的读卡,特别是写卡,应该避免在临界状态(刚能读卡的距离)读卡。因为临界状态下的数据传送是很不稳定的!容易引起读写出错!
⑧ 人为失误:例如,密码加载操作失误,误将KeyA加载为KeyB;或者是误将其他制卡厂约定的初始密码值如a0a1a2a3a4a5,b0b1b2b3b4b5加载到本公司生产的MF1卡内;或者在初始状态下(密码A=000000000000【隐藏状态,实际为ffffffffffff】,控制位=FF 07 80 69,密码B=ffffffffffff【可见】)若不经意地将KeyA=000000000000 删除后又重新输入12个‘0‘,并加载了它!这时无意中已将KeyA原来12个隐藏的‘f‘,修改成了12个‘0‘,其后果可想而知!
⑨ 卡片失效:读写均无数据传送,读写器报告‘寻卡错误‘!卡片被超标扭曲,弯曲而造成内电路断裂。
⑩ 读写距离过近:与用户使用的读写器性能有关。标准型MF1卡的读写距离可达10cm(在飞利浦公司的标准读写机具上测试的最大距离),国产知名品牌读写器一般可达5-10cm。尺寸较小的匙扣卡,其读写距离当然比标准卡近许多,但只要可靠的读写距离≥5~10mm以上,一般不会影响正常使用!
